Password ridicola nel furto del secolo: bastava digitare 'Louvre' per accedere ai server della videosorveglianza

Emerge un dettaglio clamoroso nelle dinamiche di quello che è stato additato come il furto del secolo: a quanto pare, uno dei musei più famosi al mondo, custode di opere inestimabili come la Gioconda e la Venere di Milo, sarebbe stato difeso per anni da una password tanto debole quanto ridicola: “Louvre”. Secondo quanto rivelato da Libération, bastava infatti digitare proprio il nome del museo per accedere ai server della videosorveglianza per assumere il pieno controllo delle telecamere del celebre museo.

E non si tratterebbe di una falla di sicurezza scoperta recentemente, ma di una criticità rilevata dall’Agenzia nazionale per la sicurezza informatica francese (ANSSI) nel lontano 2014, quando aveva avvisato che “chi controlla la rete del Louvre può rendere più facile il furto di opere d’arte”. Un avvertimento rimasto però lettera morta, fino al colpo che ha fruttato ai malviventi una refurtiva da quasi 90 milioni di euro. Oggi, mentre la procura di Parigi ipotizza che dietro al colpo non ci siano organizzazioni criminali professionisti ma semplici ladruncoli, il ministro della cultura francese Rachida Dati ha ammesso pubblicamente “una sottovalutazione cronica e strutturale del rischio di furti”. Quindi, la vulnerabilità del museo non sarebbe stata una semplice svista spuntata dal nulla, ma il frutto di una persistente mancanza di cultura della sicurezza.

Come se quella fotografata con un montacarichi appoggiato alle pareti del museo e da uno scooter appostato per la fuga non sembrasse già la scena di un film commedia americana, la vicenda assume così contorni grotteschi segnati da anni di negligenza digitale, da procedure mai aggiornate e probabilmente anche da una fiducia cieca di reputarsi intoccabili.

La sicurezza non si improvvisa

È una lezione che vale per tutti, pubbliche amministrazioni comprese: la sicurezza non si improvvisa, e la privacy non si difende con slogan, ma con vera formazione, controlli e responsabilizzazione delle risorse umane, che fin troppo spesso sono l’anello debole della catena.

Il caso del Louvre è pertanto un perfetto monito per chi pensa che la cybersecurity e la protezione dei dati siano solo questioni tecniche o burocratiche. Nessuna tecnologia e nessun adempimento legale può compensare una mentalità superficiale o un’organizzazione che prende sottogamba questi aspetti cruciali dell’era digitale. Se nel 2014 bastava scrivere “Louvre” per entrare nel sistema di videosorveglianza del celebre museo, a distanza di oltre 10 anni le cose non sembrano migliorate granchè, dato che nell’ultimo rapporto annuale di NordPass la password più usata in Italia era ancora “123456” per accedere a dati sensibili di clienti, dipendenti o cittadini.

Cambiano i contesti, ma la superficialità resta sempre la stessa: considerare la sicurezza come un costo o come un obbligo di compliance, piuttosto che come una risorsa e una indispensabile protezione del patrimonio aziendale. Il furto al Louvre ci ricorda quindi che la debolezza di una password può spalancare la porta a conseguenze reali, persino alla perdita di tesori inestimabili. È il segno che la trasformazione digitale, se non accompagnata da consapevolezza, rischia di restare solo un’illusione di modernità.

Articolo di Nicola Bernardi, Presidente di Federprivacy